Лабораторная работа 3-D

Кибербезопасность предприятия

Ищенко Ирина

Мишина Анастасия

Дикач Анна

Галацан Николай

Амуничников Антон

Барсегян Вардан

Дудырев Глеб

Дымченко Дмитрий

Российский университет дружбы народов, Москва, Россия

Наша команда

  • НПИбд-01-22
  • Российский университет дружбы народов

Цель тренировки

Разобраться с сценарием действий нарушителя “Защита интеграционной платформы”. Выявить и устранить уязвимости и их последствия.

Выявленные уязвимости и последствия

По ходу выполнения тренировки были выявлены следующие уязвимости:

Уязвимость 1. Bitrix vote RCE

Последствие. Deface

Уязвимость 2. GitLab RCE

Последствие. meterpreter

Уязвимость 3. WSO2 API-Manager RCE

Последствие. WSO2 User web

Bitrix vote RCE

Эксплуатация уязвимости позволяет удаленному нарушителю записать произвольные файлы в систему с помощью отправки специально сформированных сетевых пакетов. Данная уязвимость присутствует в модуле vote CMS Bitrix до версии 22.0.400

Обнаружение уязвимости

Обнаружение уязвимости

Обнаружение уязвимости

Обнаружение уязвимости

Описание инцидента

Описание инцидента

Решение

Устранение уязвимости

Решение

Устранение уязвимости

Решение

Устранение уязвимости

Решение

Устранение уязвимости

Решение

Устранение уязвимости

Решение

Устранение уязвимости

Решение

Устранение уязвимости

Решение

Устранение уязвимости

Последствие Bitrix deface

Устранение уязвимости

Последствие Bitrix deface

Устранение уязвимости

Последствие Bitrix deface

Устранение уязвимости

Последствие Bitrix deface

Устранение уязвимости

GitLab RCE: Обнаружение уязвимости

Обнаружение уязвимости

GitLab RCE: Обнаружение уязвимости

Обнаружение уязвимости

Описание инцидента

Описание инцидента

Решение

Файл

Решение

Установка обновления

Решение

Обновление

Последствия meterpreter

Обнаружение процесса

Последствия meterpreter

Результат на сайте

WSO2 API-Manager RCE

Уязвимость платформы для интеграции интерфейсов прикладного программирования, приложений и веб-служб WSO2 связана с возможностью загрузки произвольного JSP-файла на сервер. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код.

Обнаружение уязвимости

Обнаружение уязвимости

Обнаружение уязвимости

Обнаружение уязвимости

Обнаружение уязвимости

Обнаружение уязвимости

Обнаружение уязвимости

Обнаружение уязвимости

Описание инцидента

Описание инцидента

Решение

Остановка запущенной службы уязвимого приложения

Решение

Перекидывание файла

Решение

Изменение пути для запуска приложения как службы

Решение

Перезапуск службы

Решение

Удаление загруженных файлов

Решение

Удаление загруженных файлов

Последствие WSO2 User web

События создания пользователя в веб-интерфейсе

Последствие WSO2 User web

Удаление пользователя

Вывод

Разобрались с сценарием действий нарушителя “Защита интеграционной платформы”. Выявили и устранили уязвимости и их последствия.

Результаты